Windows 硬件安全性
详细了解 Windows 中的硬件安全功能支持。
硬件信任根
功能名称 | 描述 |
---|---|
Windows Defender System Guard | 在安全核心电脑上,Windows Defender System Guard安全启动使用称为动态信任根的测量技术保护启动 (DRTM) 。 使用 DRTM 时,系统最初遵循正常的 UEFI 安全启动过程。 但是,在启动之前,系统会进入硬件控制的受信任状态,该状态强制 CPU () 硬件保护的代码路径。 如果恶意软件 rootkit/bootkit 绕过了 UEFI 安全启动并驻留在内存中,DRTM 将阻止它访问受基于虚拟化的安全环境保护的机密和关键代码。 可以在支持设备(如 Microsoft Surface)上使用固件攻击面减少技术而不是 DRTM。 |
受信任的平台模块 (TPM) | TPM 为系统硬件、平台所有者和用户提供安全和隐私权益。 Windows Hello、BitLocker、Windows Defender System Guard和其他 Windows 功能依赖于 TPM 提供密钥生成、安全存储、加密、启动完整性度量和证明等功能。 规范的 2.0 版本包括对较新的算法的支持,这些算法可以提高驱动程序签名和密钥生成性能。 从 Windows 10 开始,Microsoft 的硬件认证要求所有新的 Windows 电脑都包含内置并默认启用的 TPM 2.0。 使用 Windows 11,新设备和升级设备都必须具有 TPM 2.0。 |
Microsoft Pluton | Microsoft Pluton 安全处理器由 Microsoft 与芯片合作伙伴合作设计。 Pluton 通过硬件信任根来增强对 Windows 设备的保护,该信任根为加密密钥和其他机密提供额外的保护。 Pluton 旨在减少攻击面,因为它将安全芯片直接集成到处理器中。 它可以与谨慎的 TPM 2.0 一起使用,也可以用作独立的安全处理器。 当信任根位于主板上单独的离散芯片上时,信任根和 CPU 之间的通信路径可能容易受到物理攻击。 Pluton 支持 TPM 2.0 行业标准,使客户能够立即从依赖于 TPM(包括 BitLocker、Windows Hello 和 Windows Defender System Guard)的 Windows 功能增强的安全性中受益。 除了提供信任根之外,Pluton 还支持 TPM 2.0 规范之外的其他安全功能,这种扩展性允许通过Windows 更新随时间推移提供其他 Pluton 固件和 OS 功能。 已启用 Pluton 的Windows 11设备可用,并且 Pluton 选项的选择也在不断增加。 |
硅辅助安全性
功能名称 | 描述 |
---|---|
基于虚拟化的安全性 (VBS) | 除了新式硬件信任根之外,最新芯片中还有许多其他功能可以强化操作系统免受威胁,例如通过保护启动过程、保护内存完整性、隔离安全敏感型计算逻辑等。 两个示例包括基于虚拟化的安全 (VBS) 和受虚拟机监控程序保护的代码完整性 (HVCI) 。 基于虚拟化的安全 (VBS) 也称为核心隔离,是安全系统中的关键构建基块。 VBS 使用硬件虚拟化功能来托管与操作系统分离的安全内核。 这意味着,即使操作系统遭到入侵,安全内核仍会受到保护。 从 Windows 10 开始,所有新设备都需要在 BIOS 中默认提供对 VBS 和 HCVI 的固件支持。 然后,客户可以在 Windows 中启用 OS 支持。 通过新安装的 Windows 11,默认情况下,所有满足先决条件的设备都会启用对 VBS 和 HVCI 的 OS 支持。 |
受虚拟机监控程序保护的代码完整性 (HVCI) | 受虚拟机监控程序保护的代码完整性 (HVCI) (也称为内存完整性)使用 VBS 在安全 VBS 环境中运行内核模式代码完整性 (KMCI) ,而不是main Windows 内核。 这有助于防止尝试修改内核模式代码(例如驱动程序)的攻击。 KMCI 角色是检查所有内核代码都已正确签名,且在允许运行之前未被篡改。 HVCI 有助于确保只能在内核模式下执行已验证的代码。 从 Windows 10 开始,所有新设备都需要在 BIOS 中默认提供对 VBS 和 HCVI 的固件支持。 然后,客户可以在 Windows 中启用 OS 支持。 通过新安装的 Windows 11,默认情况下,所有满足先决条件的设备都会启用对 VBS 和 HVCI 的 OS 支持。 |
硬件强制实施的堆栈保护 | 硬件强制的堆栈保护集成了软件和硬件,以现代防御网络威胁,例如内存损坏和零日攻击。 基于控制流强制技术 (来自 Intel 和 AMD 影子堆栈的 CET) ,硬件强制执行的堆栈保护旨在防止试图劫持堆栈上的返回地址的利用技术。 |
内核直接内存访问 (DMA) 保护 | 内核 DMA 保护可防止外部外围设备获得对内存的未经授权的访问。 物理威胁(如驱动器直接内存访问 (DMA) 攻击)通常很快就会发生,而系统所有者不存在。 PCIe 热插拔设备(如 Thunderbolt、USB4 和 CFexpress)允许用户通过 USB 的即插即用轻松将新类外部外设(包括图形卡或其他 PCI 设备)连接到其电脑。 由于 PCI 热插拔端口是外部的且易于访问,因此设备容易受到 DMA 驱动的攻击。 |
安全核心电脑
功能名称 | 描述 |
---|---|
安全核心电脑固件保护 | Microsoft 已与 OEM 合作伙伴合作,提供一种称为安全核心电脑的特殊类别设备。 设备附带在支持 Windows 的固件层或设备核心上启用的其他安全措施。 安全核心电脑在启动时通过硬件强制实施的信任根启动进入干净且受信任的状态,帮助防止恶意软件攻击并最大程度地减少固件漏洞。 默认情况下启用基于虚拟化的安全性。 借助内置受虚拟机监控程序保护的代码完整性 (HVCI) 保护系统内存,安全核心电脑可确保所有可执行文件仅由已知和已批准的机构签名。 安全核心电脑还可以防范物理威胁,例如驱动器直接内存访问 (DMA) 攻击。 |
安全核心配置锁 | 安全核心配置锁是一种安全核心电脑, (SCPC) 功能,可防止用户对安全设置进行不必要的更改。 使用配置锁,OS 监视用于配置每项功能的注册表项,当检测到偏移时,它会在几秒钟内恢复到 IT 所需的 SCPC 状态。 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈